Prestaciones de PadLock

El Motor de Seguridad VIA PadLock™, integrado en la familia de procesadores VIA C7 y VIA Eden, soporta informática segura mediante la inclusión de cinco potentes prestaciones de seguridad. Estas cinco características principales, una vez activadas, proporcionan una sólida protección de nivel militar en los dispositivos habilitados para VIA PadLock:

1. Algoritmo Secure Hash: SHA-1 y SHA-256 – Rendimiento a tasas de hasta 5 gigabits por segundo.
2. Encriptación AES: modos ECB, CBC, CFB y OFB. Otra manera de encriptar información a tasas de hasta 25 gigabits por segundo.


3. Multiplicador Montgomery: una herramienta valiosa para ayudar en la encriptación de información mediante el uso del algoritmo de clave pública RSA.


4. NX Execute Protection: una vez habilitada, esta prestación previene la proliferación de la mayoría de gusanos en su dispositivo.


5. Generador de números aleatorios: dos generadores de números aleatorios que pueden crear números aleatorios impredecibles a tasas de 1600 K a 20 M por segundo.

Para una guía técnica del Motor de Seguridad VIA PadLock y sus componentes, por favor consulte las Notas de Aplicación del Motor de Seguridad VIA PadLock que encontrará aquí.

Algoritmo Secure Hash: SHA-1 y SHA-256

El Algoritmo Secure Hash es un método para proteger información importante de forma que:

• Sea difícil o imposible de hackear desde el punto de vista computacional;
• Si la información es interceptada y el contenido modificado, cambia la función hash completa, ofreciendo evidencias de que el mensaje ha sido alterado.

Este tipo de técnica criptográfica se utiliza para ofrecer un checksum único (firma) o para verificar los contenidos de mensajes que:

• Ayudan a confirmar la identidad del usuario.
• Cuando se envía el mensaje a un tercero, el mensaje entero puede ser protegido usando el Algoritmo Secure Hash. Este mensaje protegido puede ser enviado de forma adicional al mensaje original, como método para verificar que los contenidos del mensaje no han sido alterados.

Algunas aplicaciones pueden usar el Algoritmo Secure Hash para:

• Asistir el proceso de encriptación de información en el disco duro para ayudar a proporcionar a los usuarios una protección más sólida frente al robo físico.
• Ayudar a las empresas que quieren establecer una conexión segura y privada entre los empleados y la oficina principal.
• Permitir a las empresas que quieran comunicarse confidencialmente con sus empleados sobre el terreno utilizar el Algoritmo Secure Hash como componente de una Red Privada Virtual (VPN).

El Motor de Seguridad VIA PadLock incluye dos tipos de encriptación de hash seguro: SHA-1 y SHA-256.

SHA-1 requiere una enorme cantidad de potencia computacional para intentar vulnerarla (unos cuantos miles de ordenadores y cerca de 10 años de tiempo), mientras que SHA-256 se considera actualmente invulnerable.

Las aplicaciones habilitadas con VIA PadLock que usan la prestación Secure Hash pueden proteger datos a tasas de hasta 5 gigabits por segundo. Para hacerse una idea, la mayoría de redes internas de las empresas funciona a 10 o 100 megabits por segundo; en otras palabras, VIA PadLock puede codificar datos utilizando esta técnica criptográfica a una tasa hasta 200 veces más rápida que la que pueden usar las redes convencionales para comunicarse.

Para más información sobre el motor Secure Hash, por favor visite las Notas de Aplicación del Motor de Seguridad VIA PadLock que encontrará aquí.

Encriptación AES

AES es un algoritmo criptográfico que se utiliza para encriptar datos entre dos puntos a través de una conexión no protegida. De nuevo, a día de hoy no ha sido vulnerado por ningún hacker del mundo y por ese motivo los gobiernos de Estados Unidos, y de otros muchos países en todo el mundo, lo usan como método estándar para comunicación y almacenamiento de información confidencial.

La encriptación AES se utiliza para:

• Transmitir información de forma segura y continuada a través de una conexión de Internet sin protección.
• Encriptar datos en un disco duro o dispositivo, para detener a los hackers que utilizan herramientas basadas en Internet para leer información del dispositivo, o evitar que los ladrones de ordenadores portátiles puedan leer los contenidos del disco duro.

El Motor de Seguridad VIA PadLock integrado en todos los procesadores VIA recientes incluye un potente motor criptográfico AES, el VIA PadLock ACE, que permite encriptar la información a tasas de hasta 20 gigabits por segundo.

Al igual que la prestación de hash seguro, el VIA PadLock ACE permite encriptar información para almacenarla o transmitirla a tasas hasta 200 veces más rápidas que un una conexión de red estándar, y hasta 25 veces más rápido que la velocidad de la mayoría de los discos duros.

Para más información sobre el VIA PadLock ACE, por favor pulse aquí o lea las Notas de Aplicación de Seguridad VIA PadLock que encontrará aquí.

¿Cómo funciona la encriptación AES?

El algoritmo criptográfico AES es una potente herramienta de seguridad diseñada para proteger los datos intercambiados o almacenados. VIA ha incluido el motor criptográfico VIA PadLock AES en todos los procesadores VIA recientes, y en cada generación ha ampliado el conjunto de prestaciones y el rendimiento hasta convertirse en el motor AES x86 más rápido del mundo.

NB: a continuación se ofrece una explicación simplificada del algoritmo criptográfico AES pensada para lectores con ningún o escaso conocimiento previo de las técnicas de seguridad. Para una explicación más detallada del algoritmo criptográfico AES, por favor pulse aquí.

La encriptación AES utiliza una clave secreta de tamaño variable (128 bits, 196 bits o 256 bits). Esta clave se comparte de forma secreta entre ambas partes antes de que se inicie la comunicación.

La encriptación AES coge el mensaje o la información que hay que enviar y la envuelve en un gran contenedor, que sería como un cubo de Rubik™ de 4 pisos de altura (para aquellos que sean aficionados a las matemáticas, la encriptación AES es un algoritmo basado en permutaciones). A continuación, los datos se mezclan como en un cubo de Rubik, por lo que la información queda codificada. La clave sirve para realizar esta acción y, cuánto más grande sea la clave, mayor será el cubo.

El cubo codificado es enviado entonces a la parte B. La parte B utiliza la clave para descodificar el cubo y leer el mensaje.

La Figura 1 ilustra el método de encriptación AES incluido en el Motor de Seguridad VIA PadLock.

Figura 2: La encriptación AES coge el mensaje y realiza permutaciones de forma similar a un gigantesco cubo de Rubik™ para hacer ilegible el mensaje que se envía. Paso 1: John envía de forma secreta a Mary una clave para desbloquear cualquier mensaje que le haga llegar. Paso 2: John pone su mensaje en el motor AES de VIA PadLock, que lo mezcla en un cubo de Rubik virtual, en el cual cada cara de cada cuadrado representa una letra. Paso 3: la clave secreta se utiliza entonces para crear un cubo de Rubik de aproximadamente cuatro pisos de alto (dependiendo del tamaño de la clave utilizada) y a continuación se mezclan las caras del cubo de la misma forma que en un cubo de Rubik. Paso 4: el cubo de Rubik es enviado por Internet a Mary, que usa la clave secreta para resolver el puzzle, devolver el mensaje a su configuración normal y poderlo leer.

NX Execute Protection

NX Execute Protection es una prestación incluida en el Motor de Seguridad VIA PadLock™, dentro de la familia de procesadores VIA C7 y VIA Eden, que ofrece una línea de defensa frente a los ataques de gusanos en dispositivos informáticos.

NB: a continuación se ofrece una explicación simplificada de NX Execute Protection pensada para lectores con ningún o muy reducido conocimiento previo de las técnicas de seguridad. Para una explicación más detallada de NX Execute Protection, por favor consulte las Notas de Aplicación del Motor de Seguridad VIA PadLock que encontrará aquí.

¿Cómo funciona?

Cuando un ordenador arranca y se ejecuta, utiliza una herramienta de gestión denominada sistema operativo que controla cómo, cuándo y dónde se hace todo. Para hacerlo, el sistema operativo divide la memoria del sistema (la RAM del ordenador) en dos secciones: memoria ejecutable y memoria de datos. El sistema operativo ejecuta programas en la memoria ejecutable. Y almacena en la memoria de datos los resultados del programa que está ejecutando.

Un gusano se aloja dentro de un programa que, cuando se ejecuta, empieza a abrirse paso a través de la memoria ejecutable y se adjunta a otro programa que se esté ejecutando. Una vez adjuntado, el gusano puede ejecutarse según las leyes del sistema operativo.

Cuando un gusano se ejecuta, trabaja ya sea para sobrecargar el búfer o para propagarse a otros programas en funcionamiento o a archivos del disco duro, y/o también se envía a sí mismo por Internet.

El Motor de Seguridad VIA PadLock utiliza un método innovador para impedir a los gusanos hacer su trabajo, al incluir una prestación denominada NX Execute Protection.

Cuando NX Execute Protection está habilitada, construye un muro virtual entre las secciones ejecutables y de datos de la memoria, que previene que los gusanos se difundan de una sección de la memoria a otra para ejecutarse a sí mismos.

Así detiene a este tipo de gusanos ya de buen principio.

La Figura 2 ilustra cómo funciona NX Execute Protection

Figura 3: NX Execute Protection crea un muro que evita que los gusanos hagan su trabajo. Cuando los gusanos tratan de propagarse a sí mismos en la memoria ejecutable, NX Execute Protection les detiene creando un muro virtual entre las dos áreas de la memoria.

El NX Execute Protection del Motor de Seguridad VIA PadLock™ funciona en los sistemas operativos líderes, incluidos:

• Microsoft® Server 2003 con Service Pack 1
• Microsoft® Windows® XP con Service Pack 2
• SUSE Linux 9.2
• Red Hat Enterprise Linux 3 Update 3

Multiplicador Montgomery

El Multiplicador Montgomery es un "turbo-cargador" para algoritmos de clave pública como RSA.

RSA y los algoritmos de clave pública son métodos de encriptación que permiten a dos partes comunicarse a través de líneas sin protección. Los algoritmos de clave pública difieren de las técnicas AES criptográficas y de Secure Hash en el sentido de que no existe una clave pública que pase de un actor a otro antes de que empiece la comunicación.

¿Cómo funciona?

El motor de seguridad VIA PadLock incluye un Multiplicador Montgomery para acelerar la generación de claves públicas, al permitir hasta 900 signos de RSA a 1024 bits por segundo.

NB: a continuación se ofrece una explicación simplificada del Multiplicador Montgomery pensada para lectores con ningún o muy reducido conocimiento previo de las técnicas de seguridad. Para una explicación más detallada sobre el Multiplicador Montgomery, por favor consulte las Notas de Aplicación del Motor de Seguridad VIA PadLock que encontrará aquí.

Este método diferente de comunicación funciona generando dos claves para cada usuario, una pública y otra privada. La clave pública está disponible para que la pueda ver cualquiera y los registros se encuentran en Internet de forma similar a un directorio telefónico. La clave privada es mantenida en secreto por cada una de las partes y en ningún momento se intercambia.

Para enviar un mensaje, la parte A consulta la clave pública de la parte B y la utiliza para encriptar el mensaje. La parte A podría enviar entonces el mensaje encriptado a cualquiera en Internet, porque la única persona que podrá leerla es la parte B. Cuando la parte B recibe el mensaje encriptado, utiliza su clave privada para desencriptarlo y leer el mensaje.

Si bien este método de comunicación es extremadamente efectivo, las matemáticas necesarias para generar las claves que se utilizan para la transmisión requiere generalmente grandes cantidades de potencia y tiempo del procesador. De hecho, muchas personas consideran las matemática implicadas en este proceso como el tipo de trabajo más duro que puede realizar un ordenador .

El motor de seguridad VIA PadLock ayuda a que las aplicaciones habilitadas para VIA PadLock puedan usar este tipo de comunicaciones seguras, transfiriendo del procesador al motor criptográfico VIA Padlock el duro trabajo que supone la generación de claves y la encriptación/desencriptación del mensaje. Esto libera valiosa potencia de procesamiento y permite que las aplicaciones funcionen sin problemas durante la ejecución.

Esto es particularmente importante en la informática móvil debido a que:

1. Liberar potencia de procesamiento reduce el consumo de batería que habitualmente provoca este tipo de cálculos.
2. Permite a las empresas enviar mensajes e información vital a sus empleados sin conocer su ubicación (importante en redes inalámbricas).
3. Puede ser utilizado para proteger comunicaciones de Voz sobre IP.

La Figura 3 ilustra la encriptación de claves públicas RSA y cómo el Multiplicador Montgomery ayuda en el proceso.

Figura 4: el Multiplicador Montgomery acelera el proceso de encriptación y reduce los requisitos de energía del procesador. Paso 1: John consulta la clave pública de Mary en el directorio telefónico de Internet. Paso 2: John utiliza la clave pública de Mary con el algoritmo RSA para encriptar y proteger la información que quiere enviar. John envía entonces el mensaje encriptado. Paso 3: Mary usa su clave privada para desbloquear el mensaje, desencriptarlo y leerlo. Nota: el uso del Multiplicador Montgomery en el proceso de transmisión es similar; sin embargo, la velocidad de encriptación y desencriptación se acelera significativamente. Esto significa que John puede enviar a Maria mensajes de forma más rápida, o bien enviar mensajes más largos en el mismo periodo de tiempo. Una de las principales áreas en las que el Multiplicador Montgomery tiene grandes posibilidades es para mantener una conversación en tiempo real mediante el envío de mensajes encriptados, lo que hace perfecto a este tipo de comunicación para aplicaciones seguras de Voz sobre IP, video-conferencias y conexiones permanentes con redes de oficinas.

Generadores gemelos de números aleatorios

En todos los métodos actuales de proteger la información, la fortaleza de los fundamentos para la generación de claves y la encriptación se basa en la calidad de los números aleatorios.

Simplificando, cuánto más aleatorio sea el conjunto de números elegido para el proceso de generación de claves y encriptación, más fuertes serán sus cimientos. Una base sólida pone más difícil a los hackers la posibilidad de romper los datos encriptados y revelar su contenido.

Por ello, cuánto más aleatorios sean los números usados en el proceso de encriptación, más difícil será para los hackers hacer su trabajo. Sin embargo, hasta ahora la mayoría de ordenadores no consigue generar números aleatorios únicos.

La causa principal es que los ordenadores no pueden generar números puramente aleatorios por sí mismos. Sólo pueden generar números pretendidamente aleatorios o seudo-aleatorios.

Los número seudo-aleatorios se generan utilizando eventos informáticos para generar aleatoriedad; generalmente, eventos provocados por un usuario como las pulsaciones sobre el teclado o los movimientos del ratón. Aunque en teoría no es un mal sistema para generar aleatoriedad, los usuarios tienden a ser muy repetivos en sus movimientos del ratón y en el tipo de teclas y la velocidad con la que pulsa sobre el teclado. Esta repetición provoca que los número seudo-aleatorios desarrollen patrones repetibles. Los hackers pueden usar estas repeticiones como herramienta para romper el código de los mensajes encriptados.

VIA PadLock elimina la posibilidad de que los hackers puedan usar como herramienta la repetición de los números aleatorios.

¿Cómo funciona?

El Motor de Seguridad VIA PadLock integra generadores gemelos de números aleatorios que producen números verdaderamente aleatorios a una tasa sostenida de 12 millones por segundo. Estos números aleatorios pueden ser utilizados en el proceso de generación de claves y encriptación para reducir las tendencias estadísticas que los hackers usan para explotar la información protegida.

NB: a continuación se ofrece una explicación simplificada del Motor RNG de Seguridad de VIA PadLock pensada para lectores con ningún o muy reducido conocimiento previo de las técnicas de seguridad. Para una explicación más detallada sobre el Motor RNG de Seguridad de VIA PadLock, por favor pulse aquí o consulte las Notas de Aplicación del Motor de Seguridad VIA PadLock que encontrará aquí.

Esto se consigue usando sus propios generadores internos de números aleatorios, los VIA PadLock RNGs, que basan su aleatoriedad en los patrones de movimiento de los electrones en determinadas condiciones. Los patrones de movimiento de los electrones son altamente aleatorios. De hecho, un campo entero de la física se dedica a describir el comportamiento de los electrones, lo que se denomina la mecánica cuántica.

Los científicos que se dedican a la mecánica cuántica estudiaron con detenimiento estos electrones y descubrieron que no hay manera de predecir cómo va a moverse un electrón. De hecho, sólo mirar a un electrón ya cambia la forma en que se mueve (en ciencia esto se denomina el principio de incertidumbre). Aplicado a la seguridad, este concepto significa que el Motor de Seguridad VIA PadLock puede generar números altamente aleatorios de forma muy rápida.

El VIA PadLock RNG es tan rápido que, según el nivel de entropía (volumen de aleatoriedad) requerido, la generación puede llegar a superar los 12 millones de números verdaderamente aleatorios por segundo.

En toda la informática, y especialmente en la informática móvil, esta velocidad es una parte esencial de un funcionamiento seguro.

• Las transmisiones inalámbricas continuadas y seguras requieren buenos números aleatorios como base.
• Las redes privadas virtuales que ofrecen una conexión sostenida requieren buenos números aleatorios como primera línea de defensa frente a las técnicas de los hackers.
• Ayudan a crear claves más sólidas para la encriptación de discos duros.

La Figura 4 ilustra este concepto de predictibilidad en números aleatorios.

Figura 5: los generadores de números aleatorios basados en software producen números aleatorios estadísticamente predecibles, mientras que VIA PadLock RNG genera números aleatorios que no son predecibles. El VIA PadLock RNG utiliza la mecánica cuántica para garantizar que no existen grupos ni repeticiones en los números aleatorios que genera su motor. Los RNGs basados en software, en cambio, no pueden garantizarlo por que sus cálculos para extraer números aleatorios se basan en eventos que tienen niveles variables de predictibilidad.